—————————————————————-
Jeg har købt et comodo wildcard certifikat hos servertastic.com. Da jeg modtager certifikatet er der 4 filer i stedet for 3… Der er nemlig to intermediate filer. Hvad hulan gør man så? Jo, man kombinerer dem. Men lad os lige tage det hele med, så jeg kan huske proceduren om et år, når certifikatet skal fornyes:
For eksemplets skyld, kalder vi her domænet for domain.com.
Indholdsfortegnelse
Generer en CSR (Certificate Signing Request):
BEMÆRK! Dette skal kun gøres første gang du køber certifikat for dette domæne. Ved fornyelse skal du bruge begge filer igen. CSR ved købet og den tilhørende nøgle ved konfig af Apache.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
# openssl req -new -newkey rsa:2048 -nodes -keyout domain.com.key -out domain.com.csr Generating a 2048 bit RSA private key ..........................+++ ...+++ writing new private key to 'domain.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:DK State or Province Name (full name) [Some-State]:Sjaelland Locality Name (eg, city) []:Birkeroed Organization Name (eg, company) [Internet Widgits Pty Ltd]:MinVirksomhed ApS Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:*.domain.com Email Address []:dns@domain.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Følgende felter i ovenstående er udfyldt:
- Country Name: Landekode bestående af 2 bogstaver
- State or Province: Region, som f.eks. Jylland, Fyn eller Sjaelland
- Locality Name: Bynavn
- Organization Name: Virksomhedens navn
- Common Name: Dit domæne… og husk stjernen! (*)
- Email address: Angiv en mail adresse
De 2 filer der kommer ud af det, er domain.com.csr som er din “signing request” og domain.com.key som er din private nøgle. Sidstnævnte skal vi også bruge senere.
Køb af certifikat
Når du køber certifikatet bliver du på et tidspunkt bedt om at angive CSR. Hertil kopierer du indholdet fra filen domain.com.csr
Når hele købsforløbet er gennemgået, vil du i den sidste mail modtage certifikatet (4 filer) vedhæftet i en zip fil:
- Root CA Certificate – AddTrustExternalCARoot.crt
- Intermediate CA Certificate – COMODORSAAddTrustCA.crt
- Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
- Your PositiveSSL Wildcard Certificate – STAR_domain_com.crt
De to intermediate filer, kombineres til én enkelt. Bemærk! Rækkefølgen hvormed du kombinerer disse er vigtig:
|
1 |
# cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > intermediate.crt |
Jeg omdøber også START_domain_com.crt til noget mere spiseligt:
|
1 |
# mv STAR_domain_com.crt domain.com.crt |
Konfigurer Apache
Nu kan du konfigurere Apache:
|
1 2 3 |
SSLCACertificateFile /sti/til/ssl/domain.com/intermediate.crt SSLCertificateFile /sti/til/ssl/domain.com/domain.com.crt SSLCertificateKeyFile /sti/til/ssl/domain.com/domain.com.key |
- intermediate.crt var den vi dannede ud fra de to intermediate filer vi fik pr. mail.
- domain.com.crt er selve certifikatet, også inkluderet i filerne vi fik pr. mail (den der blot blev omdøbt)
- domain.com.key var den private nøgle du genererede sammen med dit signing request (CSR)
Konfigurer Nginx
Hvis du skal bruge ssl på Nginx skal du kombinere certifikat og intermediate:
|
1 |
cat domain.com.crt intermediate.crt >> combined.pem |
Tak til Bill Patrianakos: Installing Comodo Positive SSL Certs on Apache and OpenSSL